AWS Site-to-Site VPN 連線的通道選項 - AWS Site-to-Site VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Site-to-Site VPN 連線的通道選項

您可以使用 Site-to-SiteVPN連線將遠端網路連線至 VPC。每個 Site-to-SiteVPN連線有兩個通道,每個通道都使用唯一的公有 IP 地址。兩個通道都務必要設定備援。當一個通道無法使用時 (例如,為了維護而關閉),網路流量會自動路由到該特定 Site-to-SiteVPN連線的可用通道。

下圖顯示VPN連線的兩個通道。每個通道終止於不同可用區域,以提供更高的可用性。來自內部部署網路的流量,以 AWS 使用兩個通道。從 AWS 到內部部署網路的流量偏好其中一個通道,但如果 AWS 側面發生故障,則會自動容錯移轉至另一個通道。

虛擬私有閘道與客戶閘道之間VPN連線的兩個通道。

建立 Site-to-SiteVPN連線時,您會下載客戶閘道裝置專用的組態檔案,其中包含設定裝置的資訊,包括設定每個通道的資訊。您可以在建立 Site-to-SiteVPN連線時自行選擇性地指定某些通道選項。否則, AWS 會提供預設值。

注意

Site-to-Site VPN 通道端點會從下方清單中的最低設定值開始評估來自客戶閘道的提案,無論來自客戶閘道的提案順序為何。您可以使用 modify-vpn-connection-options命令來限制 AWS 端點將接受的選項清單。如需詳細資訊,請參閱 Amazon Command Line 參考 modify-vpn-connection-options中的 。 EC2

以下是您可以配置的通道選項。

注意

有些通道選項具有多個預設值。例如,IKE版本有兩個預設通道選項值: ikev1ikev2。如果您不選擇特定值,則所有預設值都會與該通道選項相關聯。按一下 以移除您不希望與通道選項建立關聯的任何預設值。例如,如果您只想ikev1針對 IKE版本使用 ,請按一下 ikev2 將其移除。

失效對等偵測 (DPD) 逾時

DPD 逾時發生後的秒數。DPD 逾時 40 秒表示VPN端點將在第一次失敗保持連線後 30 秒考慮對等死機。您可以指定 30 或更高。

預設:40

DPD 逾時動作

發生無效對等偵測 (DPD) 逾時後要採取的動作。您可以指定下列選項:

  • Clear:DPD逾時時結束IKE工作階段 (停止通道並清除路由)

  • None:DPD逾時時不採取任何動作

  • Restart:DPD逾時時重新啟動IKE工作階段

如需詳細資訊,請參閱AWS Site-to-Site VPN 通道啟動選項

預設:Clear

VPN 記錄選項

透過 Site-to-SiteVPN日誌,您可以存取 IP Security (IPsec) 通道建立、網際網路金鑰交換 (IKE) 交涉和無效對等偵測 (DPD) 通訊協定訊息的詳細資訊。

如需詳細資訊,請參閱AWS Site-to-Site VPN 日誌

可用的日誌格式:jsontext

IKE 版本

VPN 通道允許的IKE版本。您可以指定一個或多個預設值。

預設值:ikev1ikev2

通道內部 IPv4 CIDR

VPN 通道的內部 (內部) IPv4地址範圍。您可以從 169.254.0.0/16範圍指定大小/30 CIDR區塊。CIDR 區塊在所有 Site-to-Site使用相同虛擬私有閘道的VPN連線中必須是唯一的。

注意

CIDR 區塊不需要在傳輸閘道上的所有連線中是唯一的。但是,如果它們不是唯一的,則可能會在您的客戶閘道上造成衝突。在傳輸閘道的多個 Site-to-SiteVPN連線上重複使用相同的CIDR區塊時,請小心進行。

下列CIDR區塊已保留,無法使用:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

預設:範圍的大小 /30 IPv4CIDR區塊169.254.0.0/16

內部通道 IPv6 CIDR

(IPv6僅限 VPN連線) VPN通道的內部 (內部) IPv6地址範圍。您可以從本機fd00::/8範圍指定大小 /126 CIDR區塊。CIDR 區塊在所有 Site-to-Site使用相同傳輸閘道的VPN連線中必須是唯一的。

預設:來自本機fd00::/8範圍的大小 /126 IPv6CIDR區塊。

本機IPv4網路 CIDR

(IPv4 僅限 VPN連線) 客戶閘道 (內部部署) 端允許透過VPN通道通訊IPv4CIDR的範圍。

預設:0.0.0.0/0

遠端IPv4網路 CIDR

(IPv4 僅限 VPN連線) AWS 側邊允許透過VPN通道通訊IPv4CIDR的範圍。

預設:0.0.0.0/0

本機IPv6網路 CIDR

(IPv6 僅限 VPN連線) 客戶閘道 (內部部署) 端允許透過VPN通道通訊IPv6CIDR的範圍。

預設:::/0

遠端IPv6網路 CIDR

(IPv6 僅限 VPN連線) AWS 側邊允許透過VPN通道通訊IPv6CIDR的範圍。

預設:::/0

階段 1 Diffie-Hellman (DH) 群組號碼

交IKE涉階段 1 VPN通道允許的 DH 群組編號。您可以指定一個或多個預設值。

預設值:2、14、15、16、17、18、19、20、21、22、23、24

階段 2 Diffie-Hellman (DH) 群組號碼

交IKE涉階段 2 VPN通道允許的 DH 群組編號。您可以指定一個或多個預設值。

預設值:2、5、14、15、16、17、18、19、20、21、22、23、24

階段 1 加密演算法

交IKE涉階段 1 VPN通道允許的加密演算法。您可以指定一個或多個預設值。

預設值:AES128、AES256、AES128-GCM-16、AES256-GCM-16

階段 2 加密演算法

第 2 階段IKE交涉中VPN通道允許的加密演算法。您可以指定一個或多個預設值。

預設值:AES128、AES256、AES128-GCM-16、AES256-GCM-16

階段 1 完整性演算法

交IKE涉階段 1 VPN通道允許的完整性演算法。您可以指定一個或多個預設值。

預設值:SHA1、SHA2-256、SHA2-384、SHA2-512

階段 2 完整性演算法

交IKE涉階段 2 VPN通道允許的完整性演算法。您可以指定一個或多個預設值。

預設值:SHA1、SHA2-256、SHA2-384、SHA2-512

階段 1 存留期
注意

AWS 使用階段 1 生命週期和階段 2 生命週期欄位中設定的計時值來啟動重新金鑰。如果此類存留期與交涉的交握值不同,這可能會中斷通道連線。

IKE 交涉階段 1 的生命週期,以秒為單位。您可以指定介於 900 到 28,800 之間的數字。

預設值:28,800 (8 小時)

階段 2 存留期
注意

AWS 使用階段 1 生命週期和階段 2 生命週期欄位中設定的計時值來啟動重新金鑰。如果此類存留期與交涉的交握值不同,這可能會中斷通道連線。

IKE 交涉階段 2 的生命週期,以秒為單位。您可以指定介於 900 到 3,600 之間的數字。您指定的數字必須小於階段 1 存留期的秒數。

預設值:3,600 (1 小時)

預先共用金鑰 (PSK)

預先共用的金鑰 (PSK),用於在目標閘道與客戶閘道之間建立初始網際網路金鑰交換 (IKE) 安全關聯。

長度PSK必須介於 8 到 64 個字元之間,且不能以零 (0) 開頭。允許的字元為英數字元、句點 (.) 和底線 (_)。

預設值:32 個字元的英數字串。

重設金鑰模糊

在重設金鑰時間內隨機選取的重設金鑰時段百分比 (由重設金鑰邊際時間決定)。

您可以指定介於 0 到 100 之間的百分比值。

預設:100

重設金鑰邊際時間

第 1 階段和第 2 階段生命週期到期前以秒為單位的邊界時間,在此期間,VPN連線 AWS 端會執行IKE重新輸入。

您可以指定介於 60 到階段 2 存留期一半值之間的數字。

重設金鑰的確切時間會根據重設金鑰模糊的值隨機選取。

預設值:270 (4.5 分鐘)

重新顯示視窗大小封包

IKE 重播視窗中的封包數量。

您可指定介於 64 到 2048 之間的值。

預設:1024

啟動動作

建立通道進行VPN連線時要採取的動作。您可以指定下列選項:

  • Start: AWS 啟動IKE交涉以叫出通道。只有在您的客戶閘道已設定 IP 位址時才支援。

  • Add:您的客戶閘道裝置必須啟動IKE交涉,才能啟動通道。

如需詳細資訊,請參閱AWS Site-to-Site VPN 通道啟動選項

預設:Add

通道端點生命週期控制

通道端點生命週期控制可為端點更換的排程提供控制。

如需詳細資訊,請參閱AWS Site-to-Site VPN 通道端點生命週期控制

預設:Off

您可以在建立 Site-to-SiteVPN連線時指定通道選項,也可以修改現有VPN連線的通道選項。如需詳細資訊,請參閱下列主題: